php – 正确的查询格式
发布时间:2020-12-13 15:55:18 所属栏目:PHP教程 来源:网络整理
导读:我正在制作一个测试程序,我需要使用此代码: "href="testmng.php?manageqn=" . htmlspecialchars_decode($r['testname'],ENT_QUOTES) . "?subjectname=". htmlspecialchars_decode($r['subname'],ENT_QUOTES) 我的问题是当manageqn和subjectname具有正确的
|
我正在制作一个测试程序,我需要使用此代码:
"href="testmng.php?manageqn=" . htmlspecialchars_decode($r['testname'],ENT_QUOTES) . "?subjectname=". htmlspecialchars_decode($r['subname'],ENT_QUOTES) 我的问题是当manageqn和subjectname具有正确的值时,正确的格式是什么: else if ((isset($_REQUEST['manageqn'])) && (isset($_REQUEST['subjectname']))) {
$testname = $_REQUEST['manageqn'];
$subname = $_REQUEST['subjectname'];
$result = executeQuery("select testid from test where testname='" . htmlspecialchars($testname,ENT_QUOTES) . "';");
if ($r = mysql_fetch_array($result)) {
$_SESSION['testname'] = $testname;
$_SESSION['subjectname'] = $subname;
$_SESSION['testqn'] = $r['testid'];
header('Location: prepqn.php');
}
}
解决方法
假设您正在使用mysqli连接到数据库,您需要使用
myqli_real_escape_string() PHP函数转义字符串,否则您可能会冒险将sql注入添加到您的应用程序:
executeQuery("select testid from test where testname='" . myqli_real_escape_string($testname) . "';");
但是,我建议使用mysqli提供的预处理语句功能切换到参数化查询方法.然后你可以像这样执行executeQuery(): executeQuery("select testid from test where testname=?",$testname)
无需转义字符串以便进行安全查询. 如果你使用的是不推荐使用的mysql驱动程序,那么你应该使用mysql_real_escape_string(). (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |